揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播

admin 2025年5月27日09:33:34评论57 views字数 1059阅读3分31秒阅读模式
根据 Sekoia 威胁检测与研究(TDR)团队的深度报告,一个精密且复杂的恶意软件交付基础设施被曝光。该设施非法利用 Cloudflare 隧道服务,部署 AsyncRAT 等远程访问木马(RAT)。值得警惕的是,这一恶意基础设施自 2024 年 2 月起便持续运作,通过构建错综复杂的感染链,不断迭代升级,意图绕过各类检测工具,渗透企业网络环境。研究人员强调,相关感染链步骤繁多、构造复杂,并且在不同攻击活动中呈现出差异化特征,展现出攻击者高超的技术手段与多变的攻击策略。
揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播
攻击始于一封钓鱼邮件(通常伪装成发票或采购订单),其中包含恶意的 Windows 库文件 (.ms-library)。虽然这种格式在现代环境中并不常用,但由于其不可执行的外观,可以绕过过滤系统。
钓鱼邮件中的附件是旧的‘application/windows-library+xml’文件类型……与二进制文件相比,它可能被视为一种安全的文件格式。

.ms-library 文件引用远程 WebDav 资源,打开后会启动伪装成 PDF 快捷方式(LNK 文件)的文件下载。一旦点击 LNK,就会展开一系列脚本和有效载荷:

  • LNK 文件下载并执行 HTA 文件。

  • HTA(用 VBScript 编写)启动 BAT 脚本。

  • BAT 脚本安装 Python 并执行另一个 BAT 阶段。

最后,恶意软件注入 notepad.exe 并建立持久性。BAT 脚本的主要目标是继续执行需要 Python 的下一步……这成功触发了我们的规则ISO LNK 感染链。

攻击者使用 Python 脚本将下一个有效负载注入多个记事本进程并通过 Windows 启动文件夹建立持久性,删除两个 .vbs 文件和另一个 .bat。
揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播

最终的有效载荷 AsyncRAT 采用 base64 编码,并隐藏在从公共网站下载的 .jpg 图像中。该图像使用 PowerShell 进行反射加载,并在内存中执行,以规避磁盘检测。

下一阶段使用 PowerShell 通过 [System.Reflection.Assembly]::Load() 调用反射加载从 JPEG 图像下载的有效载荷。 

C2 通信是通过动态 DNS 域建立的,通常利用 dyndns.org,并使用 TryCloudflare 隐藏在 Cloudflare 隧道后面的基础设施。

该恶意软件链配备了多种逃避技术:

  • 检查开发环境以避免在沙盒中触发

  • Python 安装后通过 attrib.exe 隐藏文件夹

  • 检测感知的 LNK 和 HTA 滥用

  • 用于弹性 C2 轮换的动态 DNS

原文始发于微信公众号(Khan安全团队):揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月27日09:33:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   揭秘多阶段恶意软件攻击:Cloudflare 滥用和 AsyncRAT 传播https://cn-sec.com/archives/4002517.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息